Veilig informatie en data verwerken

Zorgvuldig en integer omgaan met informatie en data van – of over mensen. Naast integriteit betekent dit de verantwoordelijkheid om persoonsgegevens zo te beveiligen dat er zo min mogelijk mis kan gaan. En als er bewust gefraudeerd wordt, dat de schade zo beperkt mogelijk is.

Aan de integriteit van mensen die met persoonlijke informatie werken voldoen veel organisaties met een zogenaamde verklaring van goed gedrag. Makkelijk aan te komen, geen onoverkomelijke kosten, integriteit ‘gecovered’.

Helaas vertelt een verklaring van goed gedrag bitter weinig. Mét verklaring heb je nog steeds geen idee wie je de informatie en gegevens van jezelf en anderen nu eigenlijk toevertrouwt. Wie is deze persoon, hoe denkt hij of zij over bepaalde zaken, wat heeft iemand zelf meegemaakt, zit er een beetje humor, een luisterend oor en ruggengraat in, gaat deze medewerker het paniektelefoontje dat om 1 minuut voor 5 binnenkomt oppakken?

Past deze persoon bij de cultuur van jouw organisatie? Zoals de manier waarop we met elkaar en anderen omgaan? Dat vang je wel met bijvoorbeeld een combinatie van integriteitsvragenlijst, CV, telefonische referenties en een persoonlijk twee-richtings-verkeer-sollicitatiegesprek.


Naast er tijd in steken om iemand te willen leren kennen blijft beveiligen van persoonsgegevens en beveiligen van naar-personen-herleidbare-informatie vereist. En nee, ook dat doe je niet met een verklaring van goed gedrag.


Begin het beveiligen van informatie en data met het ‘Need to know’ principe. Wie moet wanneer, waar bij kunnen om wat te kunnen doen met welke informatie en data?

Op ‘Wie moet wanneer, waar bij kunnen om wat te kunnen doen’ de toegang tot informatie en data afstemmen. Die toegang bepalen, goed inrichten, bouwen, testen en vrijgeven neemt zeer waarschijnlijk de meeste energie in software ontwikkeling of in het inrichten van een aangekocht systeem voor zijn rekening. Waar je tot ver in de lange termijn blij mee bent en profijt van hebt.

Ieders toegang afstemmen op het ‘Need to know’ principe doe je om jezelf, je medewerkers, de mensen wiens informatie en data het betreft en je organisatie zo goed mogelijk te beschermen. Tegenover anderen en tegenover zichzelf (inclusief jezelf).

Wanneer je dan ook nog zorgt dat mensen niet – tot beperkt kunnen downloaden en queries maken houd je, als iemand om-wat-voor-reden-dan-ook toch probeert te frauderen, de schade zo beperkt mogelijk.